Si a usted le venden la protección de datos mencionando solamente EL RGPD y LOPDGDD, pues sepa que le están engañando.
Y si usted ejerce de delegado de protección de datos y además su título le ha costado una pasta, pues sepa que esto se ha acabado como era. Será de otra manera.
La Unión Europea quiere ahora que todos los problemas en protección de datos se gestionen a través de los canales de denuncia de la directiva 2019/1937 de protección a los alertadores de la Unión, ciertamente, en su artículo 2, apartado I, sub apartado, parte X, dice textualmente «que se regulan por esta actividad la de la directiva la protección de la privacidad y de los datos personales y la seguridad de las redes y los sistemas de información» pero no por el RGPD sino por la 2019/1937.
Solo en lo que no está previsto en esta directiva o posteriores será válido para el RGPD, y después explícitamente en su anexo I, modifica el RGPD para que todos tengamos constancia de ello. Lamentablemente la LOPDGDD no ha sido actualizada y por lo tanto está obsoleta.
Las atribuciones del DPD, recordemos, eran según el mismo reglamento:v
(a) informar y asesorar al responsable o al encargado del tratamiento, y a los empleados que ocupen las labores de datar los datos, de qué va ese reglamento y las otras disposiciones de la UE, esta opción se mantiene, pero siempre que no se utilice el canal de denuncias.
(b) supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones europeas y de otras de los Estados Miembros, y las políticas que se establecen por parte del delegado de protección de datos, incluida la asignación de responsabilidades. La supervisión ahora cambia de manos, la supervisión última es la tiene la figura del instructor.
(c) ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto y supervisar su aplicación de conformidad con el artículo 35. La supervisión última pasa a manos del instructor del canal de denuncias como ya hemos dicho.
(d) cooperar con la autoridad de control. El instructor del canal de denuncias es la autoridad de control previa, es ya autoridad de control. Así como la autoridad de control de siempre, que es la agencia española de protección de datos, esta se diluye y pasan sus competencias a una nueva de autoridad de control del Derecho de la Unión.
(e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento incluida la consulta previa a la que se refiere el artículo 36, y realizar consultas o en su caso sobre cualquier otro asunto. Lo dicho anteriormente, el instructor de los buzones de denuncia es la autoridad de control previa y las cuestiones pasan a través de él, así, el delegado de protección de datos cuando menos pierde buena parte de sus atribuciones como era la atención a los interesados y el ejercicio de sus derechos.
La supervisión del incumplimiento normativo y la cooperación y enlace con la autoridad de control también será cosa del instructor. Todo funcionará a partir de ahora por el procedimiento del canal de denuncias.
La ley 201/1937 es una directiva de creación de un procedimiento de resolución alternativa de conflictos y de simplificación administrativa, por los casos más usuales pueden encontrar cabida y solución, y los menos usuales una fase probatoria previa y un mecanismo para enderezar consultas desviadas a través de la figura del instructor del canal de denuncias, no del DPD.
Al encontrarnos delante de un procedimiento previo y cuasi obligatorio habría que valorar si estaríamos o no delante de una nueva excepción procesal, que beneficiaría a las empresas e instituciones que posean dichos canales de denuncia con instructores independientes.
Europa nos impone un nuevo modelo y la agencia española de protección de datos silva disimulando.